Kaum ein Unternehmen, das WhatsApp (WA) nicht in irgendeiner Form einsetzen würde. Häufig geschieht dies nur indirekt ohne offizielle Freigabe des Arbeitgebers, indem Mitarbeiter den Messenger eigenmächtig z.B. für die Terminsabstimmung oder Organisation von Schichtplänen, Weihnachtsfeiern usw. nutzen. Weit verbreitet ist der Einsatz von WA auch, um die Erreichbarkeit eines Unternehmens zu erhöhen, z.B. als rein passive Kontaktadresse für Kundenanfragen oder bei Urlaubsabwesenheit, weil WA einen sehr hohen Verbreitungsgrad hat.
Mögliche Datenschutzverstöße durch WhatsApp
- Synchronisation: Fremde Kontaktdaten werden ausgelesen und übermittelt. Hauptkritikpunkt an WA ist deshalb die datenschutzwidrige Synchronisation der Daten aus dem Kontakteordner (Adressordner) des Smartphones (z.B. Name, Post- und E-Mail-Adresse, Telefonnummer, Geburtstag usw.).
- Übertragung der Daten in die USA: Überdies übermittelt WA die personenbezogenen Daten an Dienste mit Sitz in den USA (z.B. WhatsApp Inc., Meta, Facebook).
- Online-Status, Schreibstatus, Lesebestätigung usw. werden an den Kommunikationspartner übermittelt. Hier kann der Nutzer allerdings durch entsprechende Konfigurationen die Datenübermittlung deaktivieren und so selbst für Abhilfe sorgen.
- Auswertung von Metadaten (Telefonnummer, IP-Adresse, Geräteinformationen, Standort, Nutzungsverhalten):Analyse der Metadaten und des Nutzerverhaltens, Reichweitenmessung für eigene Zwecke von WA sowie Weitergabe der Analysedaten an andere Dienste und Geschäftspartner (laut AGB von WA)
Für den Nutzer ist der automatische Datenabgleich komfortabel, da er ansonsten jeden Kontakt einzeln in den Kontakteordner einpflegen müsste. Datenschutzrechtlich aber ist der Vorgang ein Rechtsverstoß, wenn keine ausdrückliche Einwilligung dafür eingeholt wird.
WA kann deshalb nach Meinung von Datenschutzbehörden aus datenschutzrechtlicher Sicht ohne Einwilligung nicht rechtmäßig eingesetzt werden. Durch die Installation von WA ist der Nutzer gezwungen, sämtliche Kontakte in seinem Kontakteordner mit WA zu teilen. Meta (Facebook) verarbeitet diese Kontaktdaten dann weiter und erstellt Nutzerprofile. Die Freigabe des Kontakteordners ist rechtswidrig, sofern keine ausdrückliche Zustimmung aller Kontaktpersonen vorliegt. Die rumänische Aufsichtsbehörde verhängte am 21.10.2019 ein Bußgeld in Höhe von 150.000 Euro gegen die Raiffeisen Bank S.A., weil über WA unzulässigerweise sensible Daten ausgetauscht wurden.
Auch Gerichtsentscheidungen stufen WA als rechtswidrig ein, weil WA eine fortlaufende Übertragungvon fremden Kontaktdaten bedingt. Die Übertragung wäre nur durch eine Einwilligung gerechtfertigt, andernfalls kann die Installation von WA zu einer kostenpflichtigen Abmahnung und Schadensersatz führen (AG Bad Hersfeld vom 20.03.17, Az. F 111/17 EASO; 15.05.17, Az. F 120/17 EASO).
Lösungsansätze für rechtskonformen Einsatz
Mit der privaten App von WA darf keine gewerbliche Nutzung mehr erfolgen, da es seit Anfang 2018 die Version WhatsApp Business gibt. Wer WA also für geschäftliche Zwecke einsetzen will, muss die ebenfalls kostenfreie WhatsApp Business-Version installieren.
Eine mögliche Lösung für das Synchronisationsproblem wäre der Betrieb von WA auf dem Smartphone in einem isolierten Software-Container oder mit leerem Kontakteordner, sodass die Synchronisation verhindert wird.
Selbst wenn die Synchronisation bei der Installation zunächst unterbunden wird, bleibt eine Einwilligung erforderlich. Um einen rechtmäßigen WA-Verteiler aufzubauen, muss – wie etwa auch beim Newsletterversand – jeder Kunde, mit dem über WA kommuniziert werden soll, eine Einwilligung abgeben.
WhatsApp Business bietet erweiterte Funktionalitäten wie z.B. ein Firmenprofil oder automatische Abwesenheitsnachrichten und kann nicht nur auf dem Smartphone, sondern auch auf einem Rechner installiert werden. Wollen mehrere Vertriebsmitarbeiter WhatsApp Business gleichzeitig nutzen, sollte eine kostenpflichtige API-Variante von WhatsApp Business erworben werden (WhatsApp Business Platform).
Notwendige Datenschutzhinweise und Datenschutzverträge
Zur Erfüllung der gesetzlichen Informationspflichten muss eine Datenschutzerklärung erstellt werden, die alle Umstände der Datenverarbeitung, insbesondere auch die Synchronisation, Datenübermittlung in die USA und Analyse des Nutzungsverhaltens konkret beschreibt. Darin sollte ergänzend auf die Datenschutzerklärung von WA verwiesen werden.
Gemäß Art. 28 DSGVO bietet WA den Abschluss des notwendigen Vertrages zur Auftragsverarbeitung (AV-Vertrag) an, dessen Textfassung frei zugänglich ist. Gemäß dem neuenTTDSG ist WA nun möglicherweise als TK-Anbieter anzusehen,sodass kein AV-Vertrag mehr erforderlich wäre, siehe hierzu den 27. TB des LfDI von NRW. Allerdings besteht in dieser Frage offenbar bislang keine Einigkeit unter den Datenschutzbehörden. So ist der LfDI von Hessen wohl anderer Ansicht und bewertet WA nicht als TK-Anbieter, sondern weiterhin als Auftragsverarbeiter.
Datensicherheit
Bezüglich der Datensicherheit ist die Unterscheidung zwischen Nachrichteninhalten und Metadaten wichtig. Während Metadaten von WA eingesehen, ausgewertet und genutzt werden können, gewährleistet die Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte, dass niemand, auch nicht WA selbst, Informationen aus den Chats einsehen kann. Zur Beschreibung der Datensicherheit hat WA zusätzlich auf seine TOM verlinkt.
Haben Sie Interesse an den rechtlichen Details oder weitere Fragen zum Thema WhatsApp ? Unser Spezialist RA Horst Speichert, Geschäftsführer der esb data GmbH, erläutert Ihnen gerne die notwendigen Maßnahmen für den rechtssicheren Einsatz persönlich. Auch wenn RA Horst Speichert Sie mit einer Gap-Analyse unterstützen kann, nehmen Sie einfach Kontakt mit uns auf: horst.speichert@esb-data.de
Der Datenschutz-Podcast mit Horst Speichert und Simone Seidel – YouTube